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摘要 : 为 了 应 对 当前 日 益 严峻 的 内 网 安全 问题 ， 我 们 制作 了 内 网 蜜 色 集 成 系统 ， 该 集成 系统 应 用 第 三 代 蜜 网 部 署 为 基础 ， 配合 IDS 
和 防火 墙 来 构建 ， 使 用 蜜 网 网 关 转 移 攻击 流量 ， 建 立 多 台 蜜 钢 服 务 器 ， 能 够 第 一 时 间 检测 并 警告 管理 员 ， 使 应 急 响 应 满足 P2DR 模型 
的 防护 时 间 大 于 检测 加 响应 时 间 ， 分 析 并 记录 攻击 手段 ， 实 现 了 证 据 留 存 安全 迅速 和 内 网 其 他 主机 的 安全 。 


0 引言 
集成 蜜 钠 系 统 〈(Honeypot system integration ) 作为 
被 动 IDs 和 引诱 攻击 目标 ， 在 技术 日 趋 成 熟 的 同时 
也 面临 着 安全 方面 的 挑战 ， 蜜 铅 系 统 不 但 会 收 到 常 
规 手 段 的 入 侵 ， 也 会 受到 大 量 未 知 的 攻击 手段 ， 现 
在 大 量 采 用 的 防御 方案 是 是 传统 的 〈1IDS Inrusion 
Detection Systems) 和 防火 墙 ， 以 及 一 些 支 持 安全 框 
架 服务 。 这 些 防御 方式 都 是 对 外 来 攻击 进行 处 理 ， 


1.1 密 负 技术 


密 镶 技术 是 一 种 新 型 


且 技 术 成 熟 的 网 络 安全 主动 


技术 。 蜜 铅 技 术 通 过 构造 常见 漏洞 特征 码 来 做 


获 攻 击 数据 、 攻 击 方式 、 


防 利 
到 引诱 攻击 者 攻击 自身 ， 
攻击 目的 等 攻击 方面 的 相关 信息 。 


攻击 、 入 侵 的 时 候 ， 他 的 作 


蜜 色 系 统 上 共有 以 下 特征 : 


蜜 色 系 统 被 探测 、 
] 才 会 体现 出 。 


其 中 重要 的 一 点 就 是 蜜 饮 系 统 是 存在 漏洞 ， 完 整 的 


并 不 会 从 攻击 手段 来 进行 分 析 ， 企 业内 网 安全 也 是 
防火 墙 所 不 能 接手 的 ， 根 据 短 板 效 应 ， 如 若 内 网 一 
台 机 器 沦陷 后 ， 内 网 的 其 他 服务 器 及 PC 都 有 被 渗透 
的 危险 。 对 此 ， 本 论文 提出 蜜 铅 系 统 与 防火 墙 结合 
对 内 网 安全 事件 进行 记录 和 应 急 响 应 ， 通 过 虚拟 化 
技术 将 制作 成 本 大 幅 降 低 ， 在 企业 内 部 机 房 下 对 整 
体 网 络 影响 也 降 到 最 低 ， 使 用 反问 链接 waf 对 将 来 
扩展 大 量 web 服务 留 下 空间 ， 构 建 内 网 集成 蜜 钢 系 
统 来 防御 域 (组 〉 渗透 。 
1 蜜 负 系统 

密 饶 系统 是 在 网 络 安全 发 展 过 程 中 催生 出 的 一 
种 技术 ， 通 过 一 些 已 知 的 漏洞 或 者 常见 服务 来 引用 
黑客 进行 攻击 ， 当 攻击 者 入 侵 后 ， 你 可 以 通过 日 志 
和 蜜 钢 的 管理 端 对 黑客 入 侵 的 手段 和 0day 进行 
payload 分 析 ， 从 而 进行 相关 防护 。 蜜 饶 系 统 如 今 已 
经 发 展 到 第 三 代 蜜 炙 ， 蜜 负 技 术 分 为 低 交互 蜜 铅 和 
高 交互 蜜 负 ， 低 交互 密 色 的 意思 是 通过 模拟 这 个 服 
务 的 端口 和 返回 数据 包 来 达到 迷惑 入 侵 者 的 目的 ， 
引诱 入 侵 者 来 进行 溢出 攻击 等 。 高 交互 蜜 钠 则 是 一 
个 真实 的 服务 ， 黑 客 可 以 对 其 进行 入 侵 ， 由 于 是 密 
饶 系统 。 当 黑客 进行 深度 操作 后 系统 会 自动 断 开 连 
接 ， 并 提醒 管理 员 。 窗 钠 系 统 的 功能 在 于 迷惑 入 侵 
者 ， 保 护 服务 器 ， 和 增加 入 侵 者 的 入 侵 时 间 提 高 应 


急 响 应 反应 时 间 ， 加 固 服 务 器 。 
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暴露 在 内 网 或 外 网 中 的 机 
虚假 的 ， 


蜜 钠 系 统 的 机 器 是 
破 ， 通 过 P2DR 模型 可 知 


蔬 | 
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攻击 者 需要 花费 时 间 攻 
， 当 攻击 时 间 大 于 响应 时 


时 ， 系 统 是 安全 的 。 在 攻击 的 这 段 时 间 内 ， 系 统 


习 亚 


其 他 生产 主机 。 
能 够 学 习 攻击 者 的 
利 


攻击 方法 和 利用 手法 。 
j 数 据 捕获 可 以 捕获 攻击 者 使 用 的 0day， 通 过 分 


管理 员 能 够 有 足够 的 时 间 锁 定 攻 击 来 源 ， 并 保护 内 


析 数 据 内 容 来 对 位 置 漏洞 进行 修复 。[1] 


1.2 蜜 饶 的 关键 技术 


想 要 构建 一 个 蜜 铅 系 统 和 组 成 一 个 

网 络 主要 技术 在 于 主机 虚拟 化 ， 攻 击 数据 控制 ， 
击 数据 捕获 和 危险 操作 隔离 ， 这 四 个 方面 是 组 成 内 
蜜 色 系 统 的 主要 技术 以 及 主要 功能 。 
虚拟 化 分 为 主机 虚拟 化 和 功能 模拟 ， 其 目的 是 

减少 内 网 服务 器 资源 浪费 ， 通 过 虚拟 化 技术 将 富饶 
系统 同步 上 线 到 相关 服务 器 同 网 段 ， 若 上 线 服务 器 
被 入 侵 时 ， 攻 击 者 对 内 网 进行 渗透 时 密 铅 系统 保证 
能 够 被 入 侵 者 发 现 。[ 2 ] 功 能 模拟 要 


网 


内 网 的 蜜 鱼 
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ID 


改 到 能 够 


明显 


的 漏洞 指纹 ， 通 过 同 网 段 下 其 他 服务 器 用 iptables 


或 firewall 等 防火 墙 设 置 


， 进 行 流量 或 者 探测 转发 


(nginx 反 向 代理 ) ， 将 入 侵 数 据 全 部 转移 到 蜜 饮 系 


统 中 。 由 于 伪 蜜 铅 系 统 存在 用 户 交 互 问 题 ， 


但 是 对 


蜜 钢 系 统 较为 安全 ， 所 以 本 文大 部 分 的 密 炙 系统 都 


要 在 
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是 中 ， 低 交互 的 蜜 饶 系 统 ， 防 止 攻击 者 攻击 得 到 密 
饶 系 统 权限 。 

攻击 数据 控制 的 目的 是 保证 蜜 铅 系 统 被 攻击 时 
不 会 被 攻击 者 用 作 跳 板 来 攻击 内 网 的 其 他 业务 服务 
器 。 这 样 就 决定 了 数据 控制 需要 有 两 个 以 上 的 控制 
方案 同时 进行 ， 比 如 从 网 关 防 火 墙 处 进行 流量 控制 ， 
同时 从 内 网 服务 器 之 间 的 软 防火 墙 C 人 WAF) 对 数据 
传输 设置 IP 白 名 单 。 

攻击 数据 捕获 是 蜜 炙 系 统 的 主要 功能 ， 捕 获 的 
数据 要 及 时 发 送 到 管理 员 邮 箱 中 ， 使 管理 员 知 晓 内 
网 已 经 被 攻击 了 ， 执 行 应 急 响 应 流程 。 捕 获 的 数据 
用 来 分 析 攻 击 者 的 攻击 手法 、 攻 击 工具 和 攻击 目 等 
其 他 目的 。 通 过 链 路 层 到 应 用 层 ， 整 个 内 网 系统 记 
录 攻 击 者 的 数据 内 容 ， 多 维度 数据 捕获 模式 ， 保 证 
攻击 者 的 每 一 个 攻击 都 有 记录 。 

攻击 者 通过 蜜 饶 系 统 的 漏洞 拿 到 了 密 饶 系统 的 
权限 ， 当 攻击 者 需要 做 跳板 攻击 其 他 服务 器 等 危险 
操作 时 ， 密 饶 系统 会 自动 断 开 与 攻击 者 的 连接 ， 这 
样 保证 了 蜜 铅 系 统 和 内 网 其 他 服务 器 的 安全 ， 保 证 
危险 操作 能 被 隔离 出 来 。 
2 系统 以 及 结构 设计 


内 网 系统 的 集成 蜜 饶 的 设计 如 图 1-1 所 示 ， 


1-0 
系统 主要 由 防火 墙 ， 蜜 网 网 关 ， 蜜 饶 系统 管理 端 ， 
虚拟 化 三 台 高 低 交 互 密会 系统 组 成 ， 防 火 墙 由 硬件 


防火 墙 充当 ， 用 于 记录 传输 层 攻击 命令 ， 并 进行 流 
量 转发 ， 加 强 网 络 之 间 的 访问 控制 ， 预 防 系统 外 部 


网 络 入 侵 内 部 网 络 或 非法 操作 单机 的 一 种 必要 防护 。 


防火 墙 对 所 有 流 经 数据 都 进行 记录 。 

入 侵 检测 技术 是 一 种 通过 记录 攻击 者 相关 信息 
观察 攻击 行为 ， 检 测 鉴定 是 否 为 攻击 行为 的 一 种 检 
测 技 术 ， 而 蜜 钠 系 统 则 是 对 所 有 信息 进行 记录 ， 通 
过 设 定 的 正则 规则 判断 是 否 是 攻击 行为 ， 内 网 任意 
一 台 服 务 器 如 果 被 外 部 攻击 者 攻击 ， 开 始 对 内 网 服 
务 器 进行 扫描 和 溢出 等 操作 时 ， 通 过 控制 的 蜜 网 网 
关 和 服务 器 部 署 的 分 布 式 WAF 将 非法 流量 转移 到 蜜 
钢 系 统 中 ， 确 保 攻击 者 的 所 有 攻击 目标 全 部 都 转移 


到 蜜 钢 系 统 上 。[31] 

蜜 镀 系统 控制 端 (10.0.0.3) 主要 是 虚拟 化 生产 
密 饶 系统 ， 并 实时 监测 记录 ， 所 收集 的 数据 大 多 是 
扫描 记录 ， 相 关 和 危险 端口 登陆 记录 ， 登 陆 后 命令 操 
作 ， 滋 出 数据 包 内 容 。 密 网 网 关 也 可 通过 虚拟 化 技 
术 或 者 使 用 系统 内 部 集成 来 部 署 ， 例 如 IPTables 防 
火 墙 ，firewall，winshark 内 网 数据 监测 分 析 工 具 。 通 
过 这 些 工具 来 对 蜜 网 数据 进行 监控 。 

3 集成 系统 功能 设计 
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假设 攻击 者 在 内 网 已 经 获得 一 台 服 务 器 的 root 
权限 ， 且 与 集成 蜜 包 系统 在 同一 网 段 下 ， 攻 击 者 的 
攻击 手段 大 多 是 依靠 服务 器 上 各 种 服务 端口 漏洞 或 
者 弱 口 令 进 行 攻击 ， 所 以 我 们 在 每 个 窜 镀 主机 上 部 
署 了 一 些 可 用 的 漏洞 ， 提 高 了 蜜 钢 的 诱惑 性 ， 攻 击 
者 会 对 蜜 钢 系 统 的 网 络 及 新 端口 扫描 ， 获 取 蜜 钢 系 
统 的 端口 信息 ， 当 系统 接收 到 syn 或 者 ping 命令 探 
测 后 立即 对 管理 员 进 行 告警 。WAF 使 用 nginx 反 向 连 
接 的 模式 ， 并 没有 采用 通明 网 桥 或 者 离线 模式 ， 如 
果 采 取 离 线 模式 ， 那 么 只 是 对 攻击 起 到 记录 作用 ， 
而 没有 起 到 阻隔 危险 代码 的 作用 并 且 后 期 维护 工作 
量 大 。 如 采取 通明 网 桥 模 式 则 后 期 升级 成 本 过 高 ， 
若 防 火 墙 流量 有 限制 则 对 大 量 并 发 连接 处 理 不 够 ， 
而 采取 反 向 连接 式 waf 则 能 够 部 署 分 布 式 集群 处 理 
大 量 连 接 用 户 ， 未 来 升级 或 者 访问 量 过 大 时 只 需 添 
加 新 的 waf 服务 器 即 可 ，openresty 配合 nginx 可 以 
轻松 处 理 100000+ 的 并 发 连接 数 ， 对 后 期 升级 提供 
了 简便 并 低 成 本 的 解决 方案 。 
Web 防火 墙 (WAF) 主要 对 web 特有 的 入 侵 方式 进 
行 防 护 ， 如 cc 攻击 ，sql 注 入 ，xml 注 入 ，xss 注 入 
等 。 由 于 是 应 用 层 攻 击 ， 所 以 也 可 以 称 作 web IPS， 
WAF 从 技术 特点 分 为 以 下 几 部 分 : 
代理 服务 : 基于 双向 代理 ， 中 断 了 用 户 与 服务 器 的 
直接 连接 ， 从 而 防止 了 入 侵 直 接 作用 于 web 服务 器 ， 
分 布 式 的 waf 对 cc 攻击 也 有 一 定 的 阻隔 效果 。 
特征 识别 : 识别 出 入 侵 者 是 他 防护 的 功能 ， 特 征 就 


是 攻击 者 的 “指纹 ”， 如 缓冲 区 溢出 的 互 密 锐 ) 加 
shellcode，sql 注 入 中 的 “=”‘select' 等 。 通过 正则 表达 Linux 主 机 | centos65 | kippo, dionaea, di | 1G RAM 10G 
式 判 断 是 否 为 规则 库 中 的 内 容 来 返回 相应 的 内 容 。 1 (linux 密 铅 ) | naeaFR 硬盘 2*2CPU 
识别 库 : 拥有 大 量 的 特征 识别 库 也 是 一 个 WAF 所 拥 实时 记录 访问 用 户 如 图 1-2。 


有 的 核心 竞争 之 一 。 Ed 
WAF 部 署 位 置 决定 WAF 部 署 位 置 的 是 WEB 服务 器 | 二 is = 
的 位 置 。 因 为 WEB 服务 器 是 WAF 所 保护 的 目标 ， 部 | : 
署 时 要 尽量 接近 。 

WAF 部 署 种 类 和 原理 


网 桥 代 理 模式 : 当 客 户 端 主机 对 服务 器 有 连接 请 求 
时 ，tcp 连接 请 求 被 WAF 截取 和 监控 。 WAF 可 以 看 作 
一 段 网 线 ， 通 过 双 网 卡 基于 桥 模 式 进 行 转发 。 从 客 
户 端 主机 来 看 ， 客 户 机 仍然 是 直接 访问 服务 器 ， 察 ”Windows 7 (模拟 攻击 者 沦陷 内 网 机 器 〉: 


觉 不 到 WAF 的 存在 。 1g 内 存 20g 硬盘 
优点 : 无 丢 包 问题 ， 默 认 支 持 https， 可 主动 防御 。 安装 sqlImap，nc，nmap，winshark，burpsuit 


缺点 : 由 于 所 有 流量 都 将 途径 WAF， 而 导致 防火 墙 本 实验 在 一 台 主 机 上 ， 利 用 vmware 做 虚拟 化 部 署 ， 
硬件 处 理 能 力 将 限制 流量 带宽 ， 应 对 大 规模 并 发 连 ”首先 主机 安装 VMwawre 12。 之 后 建立 五 台 虚 拟 机 ， 
接 时 力不从心 。 分 别 为 windows 蜜 缸 〈 低 交互 ) ，linux 蜜 铅 ( 低 交 
反 向 代理 模式 : 该 模式 是 指 将 真实 服务 器 的 地 址 映 互 ) ，windows 蜜 饶 《〈 高 交互 ) ，windows2003〔 假 
射 到 反 向 代理 服务 器 上 。 此 时 客户 主机 访问 的 就 是 设 被 沦陷 内 网 主机 ) ，linux 云 WAF 主机 。 

代理 服务 器 ， 代 理 服务 器 再 将 数据 包 转 发 给 后 台 服 Linux 蜜 馈 系 统 我 选择 ubuntu IP: 192.168.42.63 

务 器 ， 后 台 服 务 器 收 到 请 求 后 将 响应 在 发 送 给 代理 。 “Linux WAF 选择 centos6.8 做 管理 端 IP:192.168.42.6 
服务 器 ， 由 代理 服务 器 在 传 给 客户 端 。 Windows2003 IP: 192.168.42.146 

优点 : 能 够 隐藏 后 台 服 务 器 ip， 防止 溢出 漏洞 直接 ”Windows 蜜 缸 1pP:192.168.42.241 


漏 
作用 于 服务 器 。 由 于 代理 服务 器 可 以 组 成 集群 ， 对 在 waf 上 配置 后 端 服 务 器 ， 使 用 nginx 反 向 代理 
并 发 连接 进行 负载 均衡 ， 升 级 成 本 降低 。 (也 是 1 防止 恶意 攻击 影响 本 地 服务 器 。 
于 能 够 隐藏 后 台 主 机 IP， 所 以 本 论文 采用 反 向 代理 WAF 采取 了 openresty + 集成 nginx+mysql 构成 ， 采 
模 组 建 WAF) 。 j lua 和 go 语言 写 入 规则 。 
缺点 : 部 署 复杂 ， 要 在 服务 器 上 完成 带路 部 署 ， 设 
置 代理 端口 和 服务 器 端口 。 pp = 
4 实验 纹 果 与 有 Gm fotetuer0rMeseagenreuoooselil) 
Linux 主 centos65 | kippo, dionaea, di 
Liunx 主 centos6.8 | nginx. openresty. x- 使 用 WAF 后 将 正常 上 线 的 服务 器 添加 到 waf 反 向 链 
2 (WAF) | waf、mysql、php | 硬 接 中 ， 如 图 1-3， 设 置 windows2003- 防 火 墙 禁止 内 
Windows 主 Windows200 | Apache2.1+mysql+p | 4G RAM 40G 网 网 段 ip 访 问 ， 并 使 用 403 将 内 容 转发 到 windwos 
(内 网 上 线 主 3server | hp 硬盘 2*2CPU 高 交互 蜜 钠 的 网 站 中 。 
机 ) Linux 低 交 互 蜜 钢 配 置 了 kippo 密 钠 和 dionaea， 
Windows 主 Windows200 | iis6.0+accsse+ 南 方 数 | 1G RAM 20G 通常 攻击 者 会 对 ssh 进行 爆破 攻击 ， 所 以 使 用 这 个 
(高 交互 室 镶 ) 3 server ”| 据 cms，Server-U6.0 | 硬盘 2*2CPU ssh 蜜 饶 来 应 对 这 种 情况 。 而 dionaea 来 模拟 各 种 常 
以 下 版 本 见 端口 和 漏洞 ， 并 且 使 用 webgui 设计 进行 后 端 管理 。 


Windows7 ( Ts 虚拟 服务 器 (模拟 开启 Kippo: 


#cd /honeydrive/kippo 

#./start.sh 

开启 dionaea: 

#cd /opt/Dionaea/bin 

#sudo ./Dionaea —l all 

开启 dionaeaFR 

#cd /opt/DionaeaFR/ 

# python2.7 manage.py collectstatic 
# python2.7 
0. 0. 0. 0:8000 


实验 1， 在 试验 内 网 密 色 系统 的 被 攻击 的 主机 对 


系统 中 的 三 台 蜜 饶 系 统 使 用 nmap 端口 扫描 
实验 环境 : windows7 (攻击 主机 ) 
Nmap 端口 扫描 工具 
IP: 192.168.42.100 
Ubuntu ( 低 交 互 蜜 馈 系 统 ) 


manage. py runserver 


Dionaea+mysql+python3.2/pthon2.7+DionaeaFR 
IP: 192.168.42.63 

假设 内 网 某 台 主机 (IP: 192.168.42.100) 被 攻击 者 
拿 到 管理 员 权限 ， 并 下 载 了 nmap， 准 备 对 内 网 某 
台 服 务 器 (IP: 192.168.42.63 ) 进行 端口 扫描 ， 则 
执行 命令 
#nmap -9s 192.168.42.63 
扫 描 结 果 


本 C\Windows\system32\cmd.exe 


2 


如 轿 1-4 8 


C:\Users\DELL\Desktop\nmap-6.46>nmap -sSS 192.168.42.63 


Starting Nmap 6.46 ( http //nmap. Sr ) at 2917-64-94 18:31 中 国标 准时 间 
Nmap scan report for 192.168.42.6 
Host is up (6.09s latency). 


tls 
= 
MAC hddress: 9090:69C:29:F7:BE:76 (UMware) 


Nmap done: 1 IP address (1 host up) scanned in 13.49 seconds 
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可 以 看 出 ， 密 饶 系 统 已 经 模拟 出 相关 的 服务 信息 了 ， 
这 时 攻击 者 对 服务 器 的 相关 数据 操作 已 经 可 以 从 后 
台 查 看 到 如 图 1-5、 图 1-6。 
Nmap 的 扫描 已 经 被 蜜 饶 系 统 记 录 ， 而 且 被 迷惑 模 
拟 出 这 些 服 务 端 口 。 


10,193 4 0 0 0 

Hommes | ei | | a || | | am Waare Anatzed 
1 

@ @® 
1 

1 

0 
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实验 2， 对 windows 内 网 服务 器 网 站 进行 注入 操 


作 。 


Nginx+openrestytmysql5 端 


境 : linux 主机 (cetos6.8 WAF 代理 服务 器 ) 
配置 80， 远 程 代理 80 


端口 
IP:192.168.42.6 

Linux 服务 器 (windows 2003 server sp2) 

Apachetmysql+php 正常 生产 主机 。 

漏洞 源码 (dedecms2007 php 版 本 ) 

IP: 192.168.42.148 
假设 攻击 者 拿 到 内 网 某 服务 器 权限 ， 并 远程 登陆 。 
进行 扫描 端口 后 发 现 waf (192.168.42.6) 开启 80 端 
口 (实际 生产 主机 通过 防火 墙 断 开 与 内 网 除 waf 外 
所 有 连接 ) ， i er 在 一 个 sql 注 
入 漏洞 ， 想 要 通过 exp 拿 到 该 网 站 webshell。 
当 攻 击 者 用 浏览 器 打开 192.168.42.6 ， 发 现 
api.miren.t.n.mi.com 说 明 WAF 已 经 设置 成 功 ， 如 图 


汪 


1-7。 
= 2 EF De 
€ 3 OG 192.168.42.6 加 中 c 国 dionaea 位 在 寺 区 用 三 
rk 全 Xt 

各 %E9%9D%A2%E5%..， 辆 最 常 访问 【了 火狐 官方 站 点 们 新 手 上 路 | 常用 网 址 四 京 革 商城 NE yy 口 移动 版 世 
phpStudy 探 针 orahesady 2014 not 不 要 
服务 器 参数 
服务 器 域名 /IP 地 址 ”192.168.42.6, apimiren.t.n.mi.com(192.168.42.6, apimien.tn.micom) 
服务 器 标识 Windows NT KNICKERS-FE6303 5.2 buid 3790 (Windows Server 2003 Enterprise Ediion Service Pack 2) 586 
服务 器 操作 系统 Windows 内 核 版 本 : NT 服务 器 解 译 引擎 Apache/2.4.23 (Win32) Opt 
服务 器 语言 zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 服务 器 端口 80 
服务 器 主机 名 KNICKERS-FE6303 绝对 路 径 C:/Inetpub/WWW 
管理 员 邮 箱 admin@phpStudy.net 探 针 路 径 C:/Inetpub/WWW/Lphp 
Core bcmath calendar ctype date ereg filter ftp hash iconv json mcrypt SPL 
odbc pcre Reflection session standard mysqlnd tokenizer zip zlib libxml dom PDO bz2 
Simplex wddx ml ter apache2handler Ph 1 com dotnet gd mbatring my 
Dilo myal Pao aul. a 
PHP 相 关 艰 数 
PHP 信 息 ( phpnfo ) : PHPINFO PHP 版 本 (php_version ) : 
PHP 运 行 方式 : APACHE2HANDLER 脚本 占用 最 大 内 存 (memory_imi ) : 
PRA OM fs AR : NET CE A /nn 


在 浏览 器 测试 get 方式 的 sql 注 入 攻击 〈 非 EXP) ， 


201708.00367v1 


chinaXiv 


如 图 1-8。 可 以 看 到 刚刚 的 相关 操作 ， 登 陆 的 账号 和 密码 信息 
nee tae 0 0 0 0 都 有 所 记录 ， 并 且 web 管理 后 端 已 经 统计 成 各 种 图 
Ss 表 类 型 ， 可 以 给 管理 员 一 个 直观 的 若 口 弱 口 令 级 别 ， 


a = EE 去 -号 ia 安 全 网 本 人 二 网 : 了 网 技 术 。 业 Wordpress 40 De。 中 才 户 中 心 -ss 代理 之 。 丰 [更 轴 HTTF 
警告 管理 员 密 码 设置 。 


请 不 要 对 网 站 进行 攻击 ， 。 联系 方式 : knickers@stOrs.com 


您 的 IP 为 192.168.42.158 
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可 以 看 出 非法 的 访问 攻击 手段 已 经 被 waf 拦截 并 记 Ba © es i 


录 到 waf 服务 器 中 。 查看 waf 日 志 如 图 1-9。 


区 ] root@localhost:/var/log/nginx nl 


File Edit View Search Terminal Help 
192.168.42.158 - - [94/AprV2917:691:45:13 -9799] "GET /favicon.ico HTTP/1.1" 469 国 
42 "http://192.168.42.6/" "Mozilla/5.0 (Windows NT 16.9; WOW64) AppleWebKit/537. 
36 (KHTML, like Gecko) Chrome/56.9.2924.87 Safari/537.36" 

192.168.42.158 - - [94/AprV2917:91:45:14 -9769] "GET / HTTP/1.1" 400 42 "-" "Moz 
illa/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/ 
56.0.2924.87 Safari/537.36" 
192.168.42.158 - - [064/Apr/2017:01:45:14 -9709] "GET /favicon.ico HTTP/1.1" 400 二 
42 "http://192.168.42.6/" "Mozilla/5.0 (Windows NT 19.0; WOW64) AppleWebKit/537. RS 


36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" This verti et 1 
192.168.42.158 - - [064/Apr/2017:01:45:21 -9709] "GET /1.php HTTP/1.1" 400 42 "-" i _ 

"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWwebKit/537.36 (KHTML, like Gecko) Ch 有 ， 

rome/56.0.2924.87 Safari/537.36" e ckers tr 

192.168.42.158 - - [84/Apr/2017:81:45:21 -9799] "GET /favicon.ico HTTP/1.1”469 when attacking the system 

42 "http://192.168.42.6/1.php" "Mozilla/5.0 (Windows NT 19.0; WOW64) AppleWebKit < ES 


Top 10 usemames aerempeed 


/1537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36" CSVofal distinct 
192.168.42.158 - - [694/Apr/V2617:91:45:23 -9799] "GET /1.php HTTP/1.1" 409 42 "-" Usernames 
"Mozilla/5.0 (Windows NT 19.9; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Ch 
rome/56.0.2924.87 Safari/537.36" 
192.168.42.158 - - [94/AprV2917:91:45:23 -9799] "GET /favicon.ico HTTP/1.1" 4069 
42 "http://192.168.42.6/1.php" "Mozilla/5.0 (Windows NT 19.9; WOW64) AppleWebKit 
/537.36 (KHTML, like Gecko) Chrome/56.9.2924.87 Safari/537.36" 

a 
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由 图 1-9 可 知 ， 攻 击 者 的 攻击 手段 被 记录 并 拦截 下 waseeeser 二 TT 
来 。 并 将 连接 后 的 数据 转移 到 另 一 台 内 网 的 蜜 铅 系 coo 1 | J I 
统 中 。 方 便 管理 员 统一 收集 查看 攻击 信息 。 ee SY 


实验 3， 对 内 网 linux 服务 器 进行 ssh 爆破 〈 弱 口 
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令 攻 击 ) 从 图 1-11 可 以 看 出 ， 攻 击 者 使 用 的 密码 最 多 的 是 什 
实验 环境 centos 6.8 (攻击 主机 ) 么 ， 爆 破 用 户 名 次 数 排行 。 
Linux 蜜 钢 系 统 〈kippo 低 交 互 蜜 钢 开 启 ) 
使 用 一 台 linux 对 linux 蜜 铅 发 送 ssh 连接 请 求 ， 
对 密码 进行 猜 解 。 如 图 1-10. 


[ae 
Top 10 usemame-password combinations 


os 
面 michershuntao 
i 
出 cosnn 

王 ooua21321 

而 mounoneyiive 
nickers moneydre 
面 ou2312313 

面 movataaa 

闻 wictersn23456 


root@localhost:~/Desktop 


File Edit View Search Terminal Help 

RSA key fingerprint is 14:d3:8f:4f:26:37:fd:da:76:6e:b9:3f:c5:4b:3c:f1. 

Are you sure you want to continue connecting (yes/no)? YES 

Warning: Permanently added '192.168.42.63' (RSA) to the List of known hosts. 
Password : 

Password : 1-0 
Password : 


0 password: 如 图 1-13、 1-14。 窗 饶 系统 已 经 记录 J 攻击 日 期 和 攻 
TO0tBI32 168 a2 53 ,0 posewerd. 9 击 来 源 者 的 ip， 这 样 对 管理 员 分 析 内 网 沦陷 机 器 提 
321Permission denied, please try again. 


da tls 供 了 很 大 的 帮助 。 也 给 了 以 后 的 志 管理 理 和 起 诉 内 
容 提 供 了 相关 的 证 据 。 


[root@localhost Desktop]# ssh 192.168.42.63 
Password: 
Password: 

Password: 

root@192.168.42.63's password: 

Permission denied, please try again. 
root@192.168.42.63's password: 

Permission denied, please try again. 
root@192.168.42.63's password: 

Permission denied (keyboard-interactive,password). 
[root@localhost Desktop]# 上 国 
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这 时 登陆 我 们 的 管理 后 端 查看 如 图 1-11。 


BE a 
2 /一 一 一 一 一 
CsV ofall probes per week 
上 
上 
上 
入 
0 地 
3% “> 
> 
1-0 
onsI = 一 和 de ddd a 
| 清和 
一 Eee 
1-0 


实验 4、 模 拟 攻 击 者 访问 高 交互 密 负 系统 


当 内 网 一 台 机 器 被 沦陷 后 ， ee dae 
险 的 环境 之 中 ， 而 通过 高 交互 蜜 饶 系 统 可 以 引诱 攻 
击 者 来 攻击 这 个 蜜 铅 ， 而 本 文中 的 高 交互 蜜 饮 当 
web 端 被 攻击 者 访问 时 可 以 记录 攻击 者 ip 和 时 间 以 


及 页 面 信息 。 并 将 其 保存 在 服务 器 中 。 方便 管理 员 查 
看 和 分 析 攻 击 来 源 、 

实验 环境 : windows 主机 windows 2003server 
ps2) apache2.0+php7+mysql5 

IP: 192.168.42.241 

Windows 主机 (攻击 者 ) 

web 客户 端 

IP: 192.168.42.158 

使 用 edge 浏 览 器 访 问 
http;//192.168.42.241/index.php〈 如 图 1-15) 
er pe 
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假设 攻击 者 通过 端口 扫描 器 扫描 到 了 这 个 服务 器 开 


1-0 
该 密 饶 系统 在 浏览 器 设置 代理 策略 ， 
localhost:8080 下 ， 
这 样 使 得 该 脚本 作用 不 止 如 此 ， 假 设 攻击 者 已 经 获 
得 了 蜜 缸 系统 的 管理 员 权限 后 ， 如 果 攻 击 者 使 用 浏 
览 器 访问 其 他 服务 器 所 有 的 流量 都 将 返回 到 本 机 ， 
并 被 后 台 RPR 脚本 记录 。 如 图 1-17。 


lre:192.168.42. SN HttD://192.168.42.241; TITIE 


代理 到 


IP:127.0.0.1|URL:http: 
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这 样 即使 攻击 者 获得 管理 员 权 限 后 也 会 
有 的 访问 操作 。 
5 实验 结论 
蜜 钢 技 术 是 继 防 病毒 、 防 火 墙 、 入 侵 检测 系统 等 
技术 过 后 ， 又 一 令 人 耳目 一 新 的 强 有 力 的 网 络 安全 
技术 ， 本 论文 将 蜜 铅 系 统 结 合 传统 防火 墙 构建 的 集 
成 蜜 饮 系 统 能 够 大 范围 覆盖 常见 内 网 攻击 的 手法 引 
诱 。 由 上 文 试验 中 可 以 看 出 ， 蜜 钢 系 统 对 于 当前 常 
见 的 内 网 攻击 手段 有 着 一 定 的 限制 作用 ， 来 自 应 用 
层 的 攻击 本 论文 模拟 的 环境 可 以 做 到 全 部 网 络 控 制 ， 
保证 蜜 钢 系 统 的 数据 捕获 和 与 生产 系统 互 不 影响 。 
蜜 钢 系 统 的 记录 功能 不 止 是 记录 在 本 机 的 文件 


被 记录 到 所 


中 ， 也 使 用 了 不 同 的 Database ， 如 
Mysql、PostgreSQL 主要 用 来 储存 攻击 者 的 操作 记录 


IP 地 址 、 时 间 、ssh 爆破 的 字典 等 等 。 
后 端 管理 采取 了 多 平台 多 管理 的 后 端 ， 有 
。 统 一 后 端 管理 都 有 虚拟 化 主 


php+mysql 和 Iua+go 等 
机 管理 和 镜像 备份 。 
蜜 铅 容器 采取 了 时 下 比较 成 熟 和 流行 的 
vmware 12 虚拟 化 蜜 铅 系 统 操作 环境 ， 后 期 可 改进 
成 docker 或 者 QEMU-KVM 等 虚拟 化 。 

应 用 层 模拟 使 用 了 开源 的 kippo 收集 和 记录 ssh 
操作 记录 ， 使 用 Dionaea+DionaeaFR 
组 建 常见 端口 模拟 和 web 端 日 志 管 理 程序 。 Windwos 
采用 高 交互 和 低 交 互 的 模拟 模式 ， 通 过 脚本 记录 和 
服务 端的 日 志 记 录 方 式 反 向 追踪 来 源 IP， 高 交互 使 


启 了 80 服务 。 并 进行 访问 了 。 该 脚本 的 作用 就 是 记录 
访问 者 ip 和 时 间 并 记录 到 一 个 txt 文件 中 。 

这 里 我 们 用 管理 主机 登陆 到 蜜 馈 系 统 的 主机 查看 日 
志文 件 。 如 图 1-16。 


站 interview.txt - 记事 本 


Eo x 


j php+mysql+apache 
氏 交 互 采 取 模 拟 服务 端 ， 成 功 欢 骗 各 类 工具 的 指纹 
识别 。 

为 了 保证 管理 主机 的 安全 ， 虚 拟 环境 一 定 要 与 
主机 环境 隔离 ， 使 用 个 力度 较 高 的 虚拟 环境 ， 如 


文件 (F) 编辑 (6) 格式 (O) 查看 (V) 帮助 (H) 
IP:192. 168. 42. 158|URL:http://192. 168. 42. 241:80/ |TITLE |Hello 


python-virtualenv、QEMU 虚拟 器 、docker 容器 (不 推 
荐 ) 等 等 ， 给 没 他 蜜 饶 系 统 运行 的 用 户 最 低 的 权限 ， 


防止 攻击 者 利用 蜜 钢 服 务 的 漏洞 获取 蜜 钠 系 统 的 
root 权限 。 
完善 的 防火 墙 设置 规则 ，WAF 设置 规则 能 够 防 


完善 WAF 防火 墙 。 


护 cc 攻击 ，sql 注入 攻击 ，xss 注入 攻击 ，xml 注入 
攻击 ，http 头 注 入 攻击 ， 黑 名 单 设 置 ， 并 且 文 持 
https。 生 产 环 境 的 服务 器 设置 防火 墙 白 名 单 ， 使 
IPTABLES 或 者 firewall 进行 设置 。Windwos 使 用 相关 
防火 墙 设 置 数 据 来 源 白 名 单 。 

下 一 步 我 们 将 完善 蜜 钠 系 统 的 通知 功能 ， 使 用 
nodejs 实时 跨 平 台 通知 管理 员 服 务 器 状态 ， 有 安全 
问题 做 到 第 一 时 间 通 知 和 记录 ， 保 证 高 交互 密 饶 的 
日 志 安 全 性 能 ， 进 一 步 提高 蜜 馈 系统 的 处 理 效率 ， 
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